Nous utilisons des mots de passe pour protéger nos différents comptes depuis quelques décennies maintenant et, pour être honnête, nous ne sommes pas très doués dans ce domaine. Beaucoup d’entre nous utilisent les mêmes mots de passe simples et faciles à retenir pour tous nos comptes : pratiques pour se connecter, mais horribles pour la sécurité. Non seulement un mauvais acteur (ou un ordinateur) sera capable de deviner facilement ce mot de passe, mais il l’essaiera également avec vos autres comptes. Avant de vous en rendre compte, vous êtes confronté à de multiples violations, dont certaines peuvent concerner des informations financières ou privées.
Il existe bien sûr un certain nombre de mesures que vous pouvez prendre pour renforcer la sécurité de votre mot de passe. Premièrement, vous pouvez utiliser un mot de passe complexe et unique pour chacun de vos comptes, en veillant à ne jamais réutiliser un mot de passe. Un mot de passe bien conçu peut être impossible à deviner pour un humain, et pratiquement impossible à deviner pour un ordinateur. Mais même si une entreprise perd votre mot de passe suite à une violation de données, l’utilisation de l’authentification à deux facteurs (2FA) peut vous protéger davantage. Sans un appareil de confiance qui génère ou reçoit un code 2FA, votre mot de passe devient pratiquement inutile pour les pirates. Et comme vous n’avez pas répété les mots de passe, ils ne peuvent pas l’essayer sur vos autres comptes. C’est ce qui fait de ce combo une stratégie gagnante.
Mais beaucoup d’entre nous, sinon la plupart, n’utilisent pas cette stratégie gagnante. Nombre d’entre eux sont toujours en danger, ou mettent leur organisation en danger, en raison de mesures d’authentification non sécurisées. En tant que tel, les consommateurs sont poussés à adopter une nouvelle forme d’authentification, quelque chose qui combine la commodité des mots de passe avec la sécurité du 2FA, le tout sans que vous ayez besoin de vous souvenir de quoi que ce soit : les mots de passe.
Que sont les mots de passe ?
Les clés d’accès sont une méthode d’authentification (relativement) nouvelle qui offre une expérience similaire aux mots de passe sans impliquer réellement de mot de passe d’aucune sorte. La mesure repose sur ce qu’on appelle la cryptographie à clé publique : lorsque vous créez un nouveau compte avec une clé d’accès, ou que vous créez une clé d’accès pour votre compte existant, une « paire de clés » est générée. L’une de ces clés est publique et est stockée par la société qui gère le compte en question. Cette clé n’est pas un secret et, en théorie, pourrait être volée ou perdue lors d’une brèche. Cependant, l’autre clé est secrète. Cette clé privée est stockée sur votre appareil (tel qu’un smartphone, une tablette ou un ordinateur) et est utilisée pour authentifier réellement votre identité.
Pour créer le mot de passe, il vous suffit d’utiliser la méthode d’authentification intégrée à votre appareil. Cela peut signifier une analyse du visage, une analyse des empreintes digitales ou un code PIN. Une fois que vous vous êtes authentifié avec succès, le mot de passe est établi. Pour vous connecter ultérieurement, vous vous authentifiez simplement avec l’une de ces trois mêmes méthodes. Si cela réussit, le système vérifie ensuite auprès du compte qui détient la clé publique pour confirmer votre identité, et vous y êtes – aucun mot de passe n’est requis.
Vos clés d’accès sont stockées en toute sécurité sur vos appareils, généralement dans un « coffre-fort » tel qu’un trousseau ou un gestionnaire de mots de passe. Apple génère et stocke des mots de passe dans le trousseau iCloud, par exemple. Si vous utilisez un gestionnaire de mots de passe, comme Bitwarden ou 1Password, vous pouvez y créer et stocker des mots de passe. Tout appareil ayant accès à ce gestionnaire de mots de passe peut alors également accéder au mot de passe pour l’authentification.
Cependant, vous n’avez pas besoin de vous connecter à vos comptes sur l’appareil contenant le mot de passe. Si vous utilisez un autre appareil, par exemple l’ordinateur d’un ami ou une tablette qui ne contient pas le mot de passe, vous aurez la possibilité d’utiliser votre appareil de confiance pour vous authentifier. Par exemple, supposons que vous souhaitiez vérifier votre compte bancaire sur votre PC, mais que votre compte utilise un mot de passe stocké sur votre iPhone. Vous pouvez choisir de vous authentifier à l’aide du dispositif à clé d’accès, ce qui déclenchera la présentation d’un code QR par le site du compte. Vous pouvez scanner le code QR sur votre iPhone, vous authentifier à l’aide de Face ID, Touch ID ou de votre code PIN, et vous vous connecterez. C’est également ainsi que fonctionne la fonctionnalité lors de la connexion à des comptes sur des appareils qui ne stockent pas directement les clés d’accès, comme une PlayStation 5.
Les mots de passe sont-ils sécurisés ?
La réponse courte ? Oui. Les clés d’accès sont une méthode d’authentification extrêmement sécurisée. Pendant qu’ils sont chemin plus sécurisés que les mots de passe, ils sont encore plus sécurisés que 2FA. La 2FA est formidable, et certainement meilleure que l’utilisation d’un seul mot de passe, mais il est possible pour des attaquants de voler les codes d’authentification, surtout lorsque ces codes sont basés sur des SMS. Cela peut être aussi sophistiqué que le piratage des plateformes qui envoient vos codes, ou aussi simple qu’un stratagème de phishing : les fraudeurs peuvent se faire passer pour des représentants du compte en question et vous inciter à partager vos codes 2FA avec eux. En tant que tel, 2FA, bien que sécurisé, présente un défaut inhérent de phishing.
Les clés d’accès n’ont pas ce défaut. Vous ne pouvez pas être amené à donner l’un de vos mots de passe, et un pirate informatique ne peut pas non plus le voler sur votre appareil. Le système ne vous demandera pas de vous authentifier, sauf si vous visitez le domaine exact de la plate-forme, ce qui signifie que les escrocs ne peuvent pas créer de sites factices qui vous inciteront à vous connecter : le processus de clé d’accès ne démarrera tout simplement pas. Il est important de noter que pour se connecter via un mot de passe, l’appareil de confiance doit être physiquement proche de l’appareil auquel vous vous connectez. En tant que tel, un pirate informatique ne peut pas vous envoyer l’image d’un code QR, vous inciter à le scanner, puis vous convaincre de vous authentifier pour vous connecter. À moins que vous ne soyez dans la même pièce que le pirate informatique, il n’obtient pas votre mot de passe.
Et si je perds mon appareil ?
L’une des préoccupations les plus courantes concernant les clés d’accès concerne ce qui se passe lorsque vous perdez l’appareil sur lequel la clé d’accès est stockée. Après tout, si la clé secrète est conservée uniquement sur votre smartphone, que se passe-t-il en cas de perte, de vol ou de casse ?
Il s’avère qu’il existe ici quelques possibilités. Premièrement, il est vrai qu’il existe un risque de perdre définitivement le mot de passe si vous perdez l’accès à l’appareil de confiance. Si vous choisissez de stocker vos mots de passe sur une clé de sécurité physique, comme une YubiKey, vous perdrez ou casserez la clé. volonté signifie perdre votre mot de passe. Cependant, selon le compte, vous pouvez disposer d’options de récupération, telles que répondre à des questions de sécurité pour prouver votre identité. Cela dépendra bien sûr du cas : si votre compte ne dispose que d’un mot de passe configuré et que ce mot de passe n’est stocké que sur un seul appareil, vous risquez de perdre l’accès au compte. Vérifiez si vos comptes offrent des options de récupération, ou même des mesures d’authentification de sauvegarde. Certains comptes peuvent toujours vous demander de créer un mot de passe, même si vous optez pour des mots de passe, en raison de cette possibilité.
Mais plus important encore, vous n’avez pas besoin de conserver vos mots de passe sur un seul appareil. Il existe des protocoles sécurisés qui vous permettent de synchroniser vos mots de passe entre différents appareils. Par exemple, si vous créez un mot de passe sur votre iPhone, le trousseau iCloud synchronise également ce mot de passe en toute sécurité avec vos autres appareils Apple connectés, tels qu’un iPad et un Mac. De cette façon, lorsque vous souhaitez vous connecter à votre compte sur l’un de ces appareils, l’option d’authentification avec votre mot de passe sera disponible sur n’importe lequel : il vous suffit d’utiliser Face ID, Touch ID ou de présenter votre code PIN, et vous y êtes.
Pouvez-vous exporter des mots de passe ?
Pour le moment, non. C’est probablement le plus gros inconvénient des mots de passe. Contrairement aux mots de passe, que vous pouvez exporter vers d’autres gestionnaires de mots de passe, les mots de passe sont liés au service avec lequel ils sont générés. Si vous configurez un mot de passe pour votre compte Google sur votre iPhone, vous ne pourrez pas le transférer directement vers, par exemple, un appareil Android. Si votre mot de passe réside dans Bitwarden, vous ne pouvez pas le transférer vers Google Password Manager. En tant que tel, vous devriez essayer de créer des mots de passe sur la plate-forme que vous utilisez le plus. Si vous êtes pleinement dans l’écosystème Apple, le trousseau iCloud d’Apple fonctionnera bien pour vous. Mais si vous disposez d’un mélange d’appareils de différents fabricants, vous feriez mieux de créer des mots de passe sur un gestionnaire de mots de passe multiplateforme. Bien sûr, vous pouvez toujours vous authentifier avec votre iPhone, mais le véritable avantage des mots de passe réside dans la connexion rapide sur un appareil qui contient déjà le mot de passe.
Cela ne signifie pas pour autant que vous devez conserver ce service pour toujours : vous pouvez configurer de nouvelles clés d’accès pour les comptes existants sur d’autres services, afin de pouvoir vous débarrasser en toute sécurité de vos anciens appareils à clé d’accès. Cependant, assurez-vous de conserver l’ancien appareil jusqu’à ce que vous ayez établi le mot de passe sur un nouveau. Si quelque chose ne va pas et que vous ne parvenez pas à configurer un nouveau mot de passe sur un autre appareil, vous aurez besoin de l’ancien appareil pour confirmer votre identité, à moins que vous ne disposiez d’une autre option d’authentification, comme un mot de passe.
Les mots de passe ne sont pas parfaits : en pratique, ils peuvent être un peu compliqués, surtout lorsque vous travaillez sur différents appareils. Mais au mieux, ils offrent à la fois commodité et sécurité. Si vous n’êtes pas particulièrement doué en technologie, ou si vous n’êtes pas totalement ancré dans l’écosystème d’une entreprise technologique, il est peut-être un peu trop tôt pour vous lancer dans les mots de passe. Mais les mots de passe peuvent assurer la sécurité de vos comptes, à condition que vous compreniez ces autres faiblesses.
